понедельник, 6 июля 2015 г.

Права пользователей в ИБ

    В нашей сфере пользователи очень часто бесправны - у них очень много персональных обязанностей (не пользуйся торрентом, не приноси музыку, не передавай пароль) но очень мало личных прав.

    А как же права на обеспечение ПК, услугами печати, Интернетом? Они есть, но это ИТ-права пользователей. ИБ же контактирует с пользователями редко, практически в 2-ух случаях:

  • пользователь пришел на работу - для разьяснения ему обязанностей;
  • пользователь не выполнил обязанности - нарушил правила ИБ, и теперь в отношении него заведен инцидент (звучит как "заведено дело").

    При наличии развитого процесса повышения осведомленности пользователю еще и регулярно вдалбливается что он "должен" - выполнять правила ИБ, сообщать о угрозах, инцидентах и нарушениях ИБ, а в отдельных компаниях пользователи массово депремируются и даже увольняются за нарушения правил ИБ. Пользователи не видят ничего хорошего от ИБ, ИБ воспринимается как "гестапо", "карающий меч", и как "произвол", так как:

  • на каждого пользователя у ИБ найдется компромат;
  • ИБ не ограничена в своих функциях по мониторингу и расследованию деятельности пользователей.

     Понятно, что с таким подходом уровень доверия пользователей к службе ИБ низок, процесс повышения осведомленности далек от эффективности, и положение ИБ часто шатко - менеджмент прислушивается ко мнению пользователей из своих подразделений.
     Интересным решением может быть введение в Правила для пользователей регламентирующего мониторинг и расследования в отношении пользователей раздела, который мог бы содержать например следующее:

  • основания для мониторинга и расследования деятельности пользователя;
  • правила согласования и фиксации постановки на мониторинг\начала расследования в отношении конкретного пользователя, а так же сроков мониторинга;
  • категории пользователей которые всегда находятся под усиленным мониторингом (бухгалтера, закупки, руководители и т.п.);
  • упоминание наличия логирования всех действий по мониторингу пользователей
  • разделения нарушений по тяжести (легкие, средние и тяжелые);
  • перечня последствий нарушений правил безопасности - более тщательные проверки заявок на доступ, внеочередной аудит доступа и рабочей станции пользователя, эскалация на руководителя, внеочередная сертификация доступа, постановка на мониторинг на конкретных срок.

    Небольшой домашний Процессуальный кодекс в отношении пользователей поможет ограничить произвол повысить доверие к Службе ИБ а так же раздуть штат ограничить возможности злоупотреблений привилегиями рядового персонала службы ИБ и сократить мотивацию регистрировать малозначимые инциденты с участием пользователей.

Комментариев нет:

Отправить комментарий